forum.opennet.ru

Составление сообщения

Исходное сообщение

"Ubuntu Studio переходит c Xfce на KDE"
Отправлено Аноним, 10-Май-20 08:42

> CAP_SYS_ADMIN - вот это надо порубить к чертям собачим.
По хорошему это дорого, требует модификации ПО. Начни с Cisco и их snort который при запуске создает run, log, меняет им права. Обьясни Cisco что это дело инит скрипта а не сервиса.
Можно по плохому и дешево: сделать hardened chroot https://wiki.gentoo.org/wiki/Chrooting_proxy_services и им жестко рубить капабилити не спрашивая. Также RBAC от Grsecurity жестко рубит капабилити.
> Включить SELinux... тут и Apparmor подойдёт. Главное получить системный MAC/RBAC
Это очень дорого!!! И надо ли????
Если дискретность раздачи прав - пользователь, то вполне хватит DAC (chown, chmod, ...). Более того, настройка DAC обязательна перед использованием MAC/RBAC.
Графического интерфейса для пользователя не надо. DAC лучше сопровождать на уровне разрабов отдельных пакетов и дистрибутива в целом.
> Отделить компоненты ОС (пакеты в репозитории) от программ пользователя.
Не надо этого делать. Все устанавливаемые пакеты должны проходить проверку целостности с использованием открытых и приватных ключей. Открытые ключи должны проходить верификацию.
> В линуксе базовых вещей по десктопной безопасности нет пока что.
В KDE-3 был режим киоск. Защита десктопа была на очень хорошем уровне. К сожалению новое поколение кедерастов всю безопасность в KDE попортили и выкинули.
ЗЫ Integrity пропустил, его реализация дешовая и необходима для работы DAC, а также capabilities, MAC.
https://www.opennet.ru/openforum/vsluhforumID3/120272.html#23
https://www.opennet.ru/openforum/vsluhforumID3/120272.html#25

Исходное сообщение
"Ubuntu Studio переходит c Xfce на KDE" Отправлено Аноним, 10-Май-20 08:42
> CAP_SYS_ADMIN - вот это надо порубить к чертям собачим. По хорошему это дорого, требует модификации ПО. Начни с Cisco и их snort который при запуске создает run, log, меняет им права. Обьясни Cisco что это дело инит скрипта а не сервиса. Можно по плохому и дешево: сделать hardened chroot https://wiki.gentoo.org/wiki/Chrooting_proxy_services и им жестко рубить капабилити не спрашивая. Также RBAC от Grsecurity жестко рубит капабилити. > Включить SELinux... тут и Apparmor подойдёт. Главное получить системный MAC/RBAC Это очень дорого!!! И надо ли???? Если дискретность раздачи прав - пользователь, то вполне хватит DAC (chown, chmod, ...). Более того, настройка DAC обязательна перед использованием MAC/RBAC. Графического интерфейса для пользователя не надо. DAC лучше сопровождать на уровне разрабов отдельных пакетов и дистрибутива в целом. > Отделить компоненты ОС (пакеты в репозитории) от программ пользователя. Не надо этого делать. Все устанавливаемые пакеты должны проходить проверку целостности с использованием открытых и приватных ключей. Открытые ключи должны проходить верификацию. > В линуксе базовых вещей по десктопной безопасности нет пока что. В KDE-3 был режим киоск. Защита десктопа была на очень хорошем уровне. К сожалению новое поколение кедерастов всю безопасность в KDE попортили и выкинули. ЗЫ Integrity пропустил, его реализация дешовая и необходима для работы DAC, а также capabilities, MAC. https://www.opennet.ru/openforum/vsluhforumID3/120272.html#23 https://www.opennet.ru/openforum/vsluhforumID3/120272.html#25

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> CAP_SYS_ADMIN - вот это надо порубить к чертям собачим.

> По хорошему это дорого, требует модификации ПО. Начни с Cisco и их 
> snort который при запуске создает run, log, меняет им права. Обьясни 
> Cisco что это дело инит скрипта а не сервиса.

> Можно по плохому и дешево: сделать hardened chroot https://wiki.gentoo.org/wiki/Chrooting_proxy_services 
> и им жестко рубить капабилити не спрашивая. Также RBAC от Grsecurity 
> жестко рубит капабилити.

>> Включить SELinux... тут и Apparmor подойдёт. Главное получить системный MAC/RBAC

> Это очень дорого!!! И надо ли????

> Если дискретность раздачи прав - пользователь, то вполне хватит DAC (chown, chmod, 
> ...). Более того, настройка DAC обязательна перед использованием MAC/RBAC.

> Графического интерфейса для пользователя не надо. DAC лучше сопровождать на уровне разрабов 
> отдельных пакетов и дистрибутива в целом.

>> Отделить компоненты ОС (пакеты в репозитории) от программ пользователя.

> Не надо этого делать. Все устанавливаемые пакеты должны проходить проверку целостности 
> с использованием открытых и приватных ключей. Открытые ключи должны проходить верификацию.

>> В линуксе базовых вещей по десктопной безопасности нет пока что.

> В KDE-3 был режим киоск. Защита десктопа была на очень хорошем уровне. 
> К сожалению новое поколение кедерастов всю безопасность в KDE попортили и 
> выкинули.

> ЗЫ Integrity пропустил, его реализация дешовая и необходима для работы DAC, а 
> также capabilities, MAC.

> https://www.opennet.ru/openforum/vsluhforumID3/120272.html#23

> https://www.opennet.ru/openforum/vsluhforumID3/120272.html#25

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру